Desemnarea, funcția și funcționarul responsabil cu protecția datelor personale (DPO)

Legea în toate formele sale

funcția

Ca parte a implementării principiului responsabilității, GDPR prevede numirea, obligatorie, în anumite cazuri, a unui responsabil cu protecția datelor (DPD sau DPO pentru responsabilul cu protecția datelor).

RPD joacă un rol cheie în promovarea unei culturi a protecției datelor în cadrul organizației și ajută la implementarea elementelor esențiale ale GDPR, cum ar fi principiile referitoare la prelucrarea datelor, drepturile persoanelor în cauză, protecția datelor prin proiectare și protecția datelor în mod implicit., registrul activităților de prelucrare, securitatea prelucrării precum și notificarea și comunicarea încălcărilor de date.

DPD este prezentat de Grupul articolului 29 ca „una dintre pietrele de temelie ale regimului de răspundere” instituit de legiuitorul european.

Mai precis, scopul său este:

  • in primul rand, facilitarea respectării regulilor prin implementarea instrumentelor de responsabilitate (cum ar fi facilitarea evaluărilor impactului asupra protecției datelor și facilitarea sau efectuarea auditurilor de protecție a datelor)
  • Pe de altă parte, să acționeze ca intermediar între actorii implicați (de exemplu, autoritățile de supraveghere, persoanele în cauză și entitățile economice din cadrul unei organizații).

De fapt, desemnarea unei persoane responsabile de asigurarea conformității procedurilor interne ale companiei cu principiile stabilite de texte nu este nouă.

directivă din 24 noiembrie 1995 a prevăzut deja posibilitatea ca statele membre să desemneze un responsabil cu protecția datelor, care va fi cunoscut, în Franța, sub denumirea de corespondent informatic și liber (CIL).

Este suficient să spunem că DPD este destinat să înlocuiască acest CIL, cu excepția totuși că desemnarea DPD este, în anumite cazuri, obligatorie de GDPR.

În mod surprinzător, în timp ce GDPR detaliază statutul RPD, legea franceză de transpunere din 20 iunie 2018 se limitează la prevederea desemnării sale. În rest, se referă la reglementarea europeană care, deși este de aplicare directă, conține multe domenii de imprecizie.

De asemenea, depinde de CNIL și de jurisprudență că va depinde de specificarea statutului juridic al DPD.

Deocamdată, este recomandabil să faceți referire la GDPR și la liniile directoare ale grupului articolului 29 pentru a înțelege regimul juridic al DPD.

Eu) Desemnarea responsabilului cu protecția datelor

LA) Cazuri de desemnare a unui RPD

Din GDPR rezultă că ar trebui făcută o distincție între cazurile în care numirea unui DPO este obligatorie și cele în care numirea este opțională.

  1. Desemnarea unui DPO este obligatorie

Ca o observație preliminară, se poate observa că articolul 37 din GDPR se aplică atât operatorilor de date, cât și procesatorilor în ceea ce privește numirea unui RPD.

În funcție de persoana care îndeplinește criteriile obligatorii de desemnare, în unele cazuri, numai operatorul sau procesatorul este obligat să desemneze un DPO, în altele, operatorul și procesatorul sunt obligați să numească fiecare un RPD (cei doi RPD trebuie să colaboreze între ei).

Este important să subliniem că, chiar dacă operatorul îndeplinește criteriile obligatorii de desemnare, subcontractantului său nu i se cere neapărat să numească un DPO.

Pentru a determina dacă desemnarea este obligatorie, consultați secțiunea 37, 1. din GDPR care prevede trei cazuri.

În tăcerea LIL și a jurisprudenței care nu a avut încă ocazia să comenteze, sfera acestor trei cazuri trebuie înțeleasă în lumina Ghidurilor privind responsabilii cu protecția datelor adoptate de Grupul Articolul 29 la 13 decembrie 2016.

2. Numirea unui DPO este opțională

Secțiunea 37, 4. din GDPR prevede că „operatorul sau procesatorul sau asociațiile și alte organisme care reprezintă categorii de operatori sau procesatori pot desemna sau, dacă legislația Uniunii sau legea unui stat membru impune acest lucru, sunt obligați să numească un responsabil cu protecția datelor”.

Această desemnare va rezulta dintr-o evaluare a nivelului de risc de neconformitate la care este expus controlorul sau procesorul.

În acest sens, se poate observa că G29 recomandă ca operatorii de date și procesatorii să documenteze analiza internă efectuată pentru a determina dacă este sau nu necesitatea numirii unui DPO, astfel încât aceștia să poată demonstra că factorii relevanți au fost luate în considerare în mod corespunzător.

Această analiză face parte din documentația necesară conform principiului răspunderii. Acesta poate fi solicitat de către autoritatea de supraveghere și trebuie să fie actualizat la nevoie, de exemplu, dacă operatorii de date sau procesatorii desfășoară activități noi sau dacă oferă noi servicii care pot corespunde cazurilor enumerate în articolul 37.